L’Essentiel : La CNIL, par sa Délibération n° 2019-118, a établi une liste des traitements dispensés d’analyse d’impact relative à la protection des données. Parmi ces dispenses, on trouve les traitements effectués par les avocats dans le cadre de leur activité professionnelle individuelle. Selon l’article 35.1 du RGPD, une analyse d’impact est requise lorsque le traitement présente un risque élevé pour les droits des personnes concernées. Toutefois, même si un traitement est exempté de cette obligation, le responsable doit respecter toutes les autres exigences du RGPD, notamment en matière de sécurité des données.

Par sa Délibération n° 2019-118 du 12 septembre 2019 la CNIL a listé les types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise. Parmi les dispenses figurent les traitements mis en œuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel.

Article 35.1 du RGDP

L’article 35.1 du Règlement général relatif à la protection des données (RGPD) prévoit qu’une analyse d’impact relative à la protection des données (AIPD) doit être menée quand un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». L’article 35.5 du RGPD permet aux autorités de contrôle d’établir et de publier une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise. L’article 35.6 du RGPD prévoit que, lorsque cette liste concerne des « activités de traitements liées à l’offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union », elle doit être soumise au mécanisme de « contrôle de la cohérence » et doit être communiquée au Comité européen de la protection des données (CEPD).

Autres obligations intactes

Attention : si la présence d’une opération de traitement sur la liste fixée dispense de réaliser une analyse d’impact, le responsable de traitement reste soumis à l’ensemble des autres obligations qui lui incombent en application du RGPD et de la loi du 6 janvier 1978. Notamment, le fait qu’une activité de traitement relève de cette liste ne signifie pas qu’un responsable de traitement est exempté des obligations énoncées à l’article 32 du RGPD en matière de sécurité du traitement.

Liste des traitements dispensés

Les douze types de traitements ci-dessous sont dispensés d’étude d’impact :

Les traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage.

Les traitements de gestion de la relation fournisseurs.

Les traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes.

Les traitements destinés à la gestion des activités des Comités d’entreprise et d’établissement.

Les traitements mis en œuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles.

Les traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale.

Les traitements mis en œuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel.

Les traitements mis en œuvre par les greffiers des tribunaux de commerce aux fins d’exercice de leur activité.

Les traitements mis en œuvre par les notaires aux fins d’exercice de leur activité notariale et de rédaction des documents des offices notariaux.

Les traitements mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance.

Les traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique, à l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel.

Les traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d’activités de transport aux seules fins d’empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants.

Télécharger les Lignes directrices concernant l’analyse d’impact du G29

Q/R juridiques soulevées :

Qu’est-ce que la Délibération n° 2019-118 du 12 septembre 2019 de la CNIL ?

La Délibération n° 2019-118 du 12 septembre 2019 de la CNIL a pour objectif de clarifier les types d’opérations de traitement des données pour lesquels une analyse d’impact relative à la protection des données (AIPD) n’est pas nécessaire.

Cette délibération est particulièrement importante pour les avocats, car elle stipule que les traitements effectués par ces professionnels dans le cadre de leur activité à titre individuel sont dispensés de cette obligation. Cela signifie que les avocats peuvent gérer les données de leurs clients sans avoir à réaliser une AIPD, ce qui simplifie leur travail tout en respectant les exigences du RGPD.

Quels sont les critères pour qu’une AIPD soit requise selon l’article 35.1 du RGPD ?

L’article 35.1 du Règlement général sur la protection des données (RGPD) stipule qu’une analyse d’impact relative à la protection des données doit être effectuée lorsque le traitement des données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Cela inclut des situations où les données sont traitées à grande échelle, où des données sensibles sont impliquées, ou lorsque des traitements peuvent affecter un grand nombre de personnes.

L’article 35.5 permet aux autorités de contrôle de publier une liste des traitements dispensés d’AIPD, tandis que l’article 35.6 impose des conditions supplémentaires pour les traitements affectant la libre circulation des données au sein de l’Union européenne.

Quelles obligations subsistent pour le responsable de traitement même si une AIPD n’est pas requise ?

Bien que la présence d’une opération de traitement sur la liste des dispenses d’AIPD exonère le responsable de traitement de cette obligation spécifique, il reste soumis à l’ensemble des autres obligations prévues par le RGPD et la loi du 6 janvier 1978.

Cela inclut, par exemple, les obligations de sécurité des traitements énoncées à l’article 32 du RGPD.

Ainsi, même si un traitement est exempté d’AIPD, le responsable doit toujours garantir la sécurité des données et respecter les droits des personnes concernées, ce qui souligne l’importance de la conformité globale au cadre légal.

Quels sont les types de traitements dispensés d’étude d’impact ?

La liste des traitements dispensés d’étude d’impact comprend douze types spécifiques. Parmi eux, on trouve :

1. Les traitements à des fins de ressources humaines pour les organismes de moins de 250 employés, à l’exception du profilage.

2. Les traitements de gestion de la relation fournisseurs.

3. Les traitements relatifs à la gestion du fichier électoral des communes.

4. Les traitements pour la gestion des activités des Comités d’entreprise.

5. Les traitements par des associations ou fondations pour la gestion de leurs membres, à condition que les données ne soient pas sensibles.

6. Les traitements de données de santé pour la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel.

7. Les traitements effectués par les avocats dans le cadre de leur profession à titre individuel.

8. Les traitements par les greffiers des tribunaux de commerce.

9. Les traitements par les notaires pour l’exercice de leur activité.

10. Les traitements par les collectivités territoriales pour la gestion des services scolaires.

11. Les traitements pour la gestion des contrôles d’accès physiques et des horaires, sans dispositifs biométriques.

12. Les traitements relatifs aux éthylotests dans le cadre d’activités de transport.

Cette liste permet de mieux comprendre les situations où les obligations d’AIPD peuvent être allégées, tout en maintenant un cadre de protection des données.